04 IBMiユーザー管理　～ユーザー・プロファイルとグループ・プロファイルできめ細かなユーザー管理を実行 ｜新・IBM i入門ガイド［操作・運用編］

ユーザー・プロファイル

IBM iにおけるシステム・セキュリティの基本は、「だれ」が「どのオブジェクト」に「どんな操作」を行えるかを規定、管理することだ（図表1）。

このうち、「だれ」を管理するための仕組みがユーザーIDである。このユーザーIDを、IBM iでは「ユーザー・プロファイル」と呼ぶ。

ほかのタイプのオブジェクトと同じように、ユーザー・プロファイルもオブジェクトとして存在し、ライブラリーQSYSに配置される。ユーザー・プロファイルはオブジェクトなので、当然テープに保管でき、復元もできる（なお、保管はSAVSECDTAコマンドで権限情報とともに保管する形式で、RSTUSRPRFコマンドで復元し、RSTAUTコマンドで権限を復元する）。

ユーザー・プロファイル・オブジェクトには図表2のように、このユーザー・プロファイルを用いてシステムにサインオンできるか、システム内でどんな操作が許されているか、どんなオブジェクトの所有者としてマークされているかといった情報が保持されている。

IBM i にアクセスする際には必ずユーザー・プロファイルを用いることが必要で、IBM iでのジョブはジョブ番号／ユーザー・プロファイル名／ジョブ名の組み合わせで一意に識別される。各ジョブで行える処理は、基本的にそのジョブのユーザー・プロファイルに与えられた権限設定に依存している。

IBM iのユーザー・プロファイルは、単にシステムにアクセスする人物を区別するためだけではなく、システム上でどんな操作が行えるのか、どんなオブジェクトにアクセスできるのかを規定する、すなわち権限設定を行うために用いられる重要なオブジェクトとなる。

システム上で行える操作を規定する設定、アクセスできるオブジェクトを規定する設定をそれぞれ「特殊権限」「専用権限」と呼ぶ。

グループ・プロファイル

またIBM iには「グループ・プロファイル」という考え方があり、ユーザー・プロファイルをグルーピングして、専用権限の一括設定などに利用できる。

グループ・プロファイル自体は特殊な形式のユーザー・プロファイル・オブジェクトとして認識されるので、ユーザー・プロファイルと同じく、テープへの保管や復元も可能である。　

グループ・プロファイルとユーザー・プロファイルは基本的に2層の単純な階層構造となり、グループ・プロファイルが別のグループ・プロファイルに属すことはできない。ただしユーザー・プロファイルは最大16のグループ・プロファイル （1個の１次グループ・プロファイルと15個の補足グループ・プロファイル）に属せる。

ユーザー・プロファイルの作成や設定変更は、5250エミュレータ画面ではWRKUSRPRFコマンドで表示される「ユーザー・プロファイルの処理」画面から実行するが、作成・変更・削除の各処理単位でも、それぞれCRTUSRPRF、CHGUSRPRF、DLTUSRPRFコマンドが用意されている。

これらのコマンドを活用して、ユーザーの一括登録や一括変更といった処理を行う「運用CLプログラム」を用意しておけば、効率的なIBM i 運用を実現できる。

また、図表3のようなIBM Navigator for iでもユーザー管理画面が用意されているので、日常運用時の突発的なユーザー登録や設定変更などでも、運用者はGUI画面を見ながら操作できる。

WindowsやLinuxでもユーザーIDの考え方はあるが、OS上でどのような操作が行えるかは、WindowsであればAdministrators、Linuxであればrootといったように「管理者とそれ以外」という大きな枠組みだけで構成されている。

これに対して、IBM iでは特殊権限の設定でよりきめ細かに規定できる。オブジェクトへのアクセス権限はWindows、Linuxのファイル・パーミッションに相当する。

Linuxでのファイル・パーミッションでは所有者、グループ、一般の3階層でのアクセス権限付与になるが、IBM iでのオブジェクト・アクセス権限はユーザー・プロファイルやグループ・プロファイル単位で付与できるなど、Linuxなどに比べると、よりきめ細かな設定が可能である。